MicrosoftのInternet Explorer(IE)に存在するセキュリティホールが明らかにされたことを受け、eEye Digital Securityは米国時間3月27日、 これに対処する暫定パッチを公開した。
この非公式パッチは、IEの脆弱なコンポーネントに対するアクセスを遮断し、(先頃明らかにされた)脆弱性の悪用を防ぐためのものだと、eEyeのセキュリティプロダクトマネージャーSteve Manzuik氏は述べている。Microsoftはこの脆弱性の修正パッチをまだ公開していない。
eEyeは、公開した暫定パッチについて、この脆弱性を悪用した攻撃からPCを保護することは確かだが、あくまでも最後の手段としてこれを利用して欲しいと述べている。
「企業や団体では、Active Scriptingを無効にするという回避策を講じられない場合があるが、そうした場合にだけこのパッチをインストールすべきだ」とManzuik氏は述べている。Microsoftでは、問題の回避策としてActive Scriptingを無効にするよう勧めている。
「このパッチは、Microsoftが予定しているパッチの代用ではない。あくまでも脆弱性の悪用から身を守るための一時的な保護策だ」(Manzuik氏)
Manuzik氏によると、「Blink」という侵入防止製品を開発するeEyeでは顧客からの要望に応えるためにこのパッチを作成したという。「Blinkを実装していない顧客から、暫定的な解決策を求められた」と同氏は説明した。eEyeでは、このパッチを自社のウェブサイトで公開し、誰もが入手できるようにしている。
Microsoftは、eEyeのつくったパッチの利用を推奨していない。MicrosoftのStephen Toulouse氏(同社セキュリティレスポンスセンター、プログラムマネージャー)は「われわれは、この暫定ツールをテストしていない。テストしていないものを推奨することはできない・・・顧客は、こうしたものをシステムに適用することについて、慎重になるべきだ」と述べている。
問題の脆弱性は、IEのにおける「createTextRange()」メソッドの処理方法に関するもの。同脆弱性が先週明らかにされて以来、これを悪用するウェブサイトが200以上見つかっている。セキュリティ企業Websenseによると、こうしたサイトは、脆弱なマシンに対してスパイウェアや遠隔操作用のソフトウェア、トロイの木馬をインストールするものだという。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」